摩托學園討論區

[rollboy]

不好意思...又發問了!
在 viewtopic.php?t=2510 這篇文章問了一堆問題之後...

小弟剛剛下 ping 61.64.118.254 出現..

代碼: 選擇全部

PING 61.64.118.254 (61.64.118.254): 56 data bytes
ping: sendto: Operation not permitted
ping: wrote 61.64.118.254 64 chars, ret=-1
ping: sendto: Operation not permitted
ping: wrote 61.64.118.254 64 chars, ret=-1
......................

ping 192.168.0.3 的話(win主機)..
則是沒反應......

唉...不知道是哪時候變這樣的...好奇怪

補充一下!
iptables -L

代碼: 選擇全部

Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere
DROP       all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere
ACCEPT     tcp  --  anywhere             anywhere           tcp spt:www
ACCEPT     udp  --  anywhere             anywhere           udp spt:www
ACCEPT     tcp  --  anywhere             anywhere           tcp spt:domain
ACCEPT     udp  --  anywhere             anywhere           udp spt:domain
ACCEPT     tcp  --  anywhere             anywhere           tcp dpt:www
ACCEPT     udp  --  anywhere             anywhere           udp dpt:www
ACCEPT     tcp  --  anywhere             anywhere           tcp dpt:domain
ACCEPT     udp  --  anywhere             anywhere           udp dpt:domain
ACCEPT     tcp  --  anywhere             anywhere           tcp spt:ftp
ACCEPT     tcp  --  anywhere             anywhere           tcp dpt:ftp

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere
DROP       all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere
ACCEPT     tcp  --  anywhere             anywhere           tcp dpt:www
ACCEPT     udp  --  anywhere             anywhere           udp dpt:www
ACCEPT     tcp  --  anywhere             anywhere           tcp dpt:domain
ACCEPT     udp  --  anywhere             anywhere           udp dpt:domain
ACCEPT     tcp  --  anywhere             anywhere           tcp spt:www
ACCEPT     udp  --  anywhere             anywhere           udp spt:www
ACCEPT     udp  --  anywhere             anywhere           udp spt:www
ACCEPT     tcp  --  anywhere             anywhere           tcp spt:domain
ACCEPT     udp  --  anywhere             anywhere           udp spt:domain
ACCEPT     tcp  --  anywhere             anywhere           tcp dpt:ftp
ACCEPT     tcp  --  anywhere             anywhere           tcp spt:ftp

route -n

代碼: 選擇全部

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 eth1
61.64.118.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
0.0.0.0         61.64.118.254   0.0.0.0         UG    0      0        0 eth0

請大家幫忙看看..謝謝

[d2207197]

你這邊的作法頗奇怪
為什麼把所有東西都 ACCEPT 後，又全部 DROP
然後又 ACCEPT

全部 DROP 應該是放在整個 chain 的最後面，不然剛剛近來的封包
就先被你 DROP 了，怎麼到下面去 ACCEPT
結果就是任何封包都不能進也不能出你主機

還有如果你擋住你 client 用的 1000 以後的 port ，也會無法連網

[code]Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere
DROP all -- anywhere anywhere
ACCEPT all -- anywhere anywhere

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere
DROP all -- anywhere anywhere
ACCEPT all -- anywhere anywhere

[d2207197]

你這邊的作法頗奇怪
為什麼把所有東西都 ACCEPT 後，又全部 DROP
然後又 ACCEPT

全部 DROP 應該是放在整個 chain 的最後面，不然剛剛近來的封包
就先被你 DROP 了，怎麼到下面去 ACCEPT
結果就是任何封包都不能進也不能出你主機

還有如果你擋住你 client 用的 1000 以後的 port ，也會無法連網

所幸使用你這台當 nat 出去到網際網路的電腦，並不會通過 filter 的 INPUT和 OUTPUT，所以不會被擋住

[code]Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere
DROP all -- anywhere anywhere
ACCEPT all -- anywhere anywhere

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere
DROP all -- anywhere anywhere
ACCEPT all -- anywhere anywhere

[Tetralet]

您不妨把您的 iptables 的 Script 貼出來，
這樣子也許比較好抓問題的所在。

另外，
也許您必須開放 ICMP 封包才能進行 ping 的動作，
如：

代碼: 選擇全部

iptables -A INPUT -i eth0 -p icmp -j ACCEPT
iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT

[rollboy]

全部 DROP 應該是放在整個 chain 的最後面，不然剛剛近來的封包
就先被你 DROP 了，怎麼到下面去 ACCEPT
結果就是任何封包都不能進也不能出你主機

阿...要這樣喔?
因為小弟之前看人家討論都是說先全部檔掉...才開放某某port!

底下是我當初加進iptables的樣子..

代碼: 選擇全部

iptables -F
iptables -F -t nat
iptables -X
iptables -X -t nat

iptables -P FORWARD ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -i eth0 -j DROP
iptables -A OUTPUT -o eth0 -j DROP
iptables -A INPUT -i eth1 -j ACCEPT
iptables -A OUTPUT -o eth1 -j ACCEPT


iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -j MASQUERADE


iptables -A OUTPUT -o eth0 -p icmp -j ACCEPT
iptables -A INPUT -i eth0 -p icmp --icmp-type echo-reply -j ACCEPT
iptables -A INPUT -i eth0 -p icmp --icmp-type echo-request -j DROP



#www
iptables -A INPUT -i eth0 -p TCP --sport www -j ACCEPT
iptables -A OUTPUT -o eth0 -p TCP --dport www -j ACCEPT
iptables -A INPUT -i eth0 -p UDP --sport www -j ACCEPT
iptables -A OUTPUT -o eth0 -p UDP --dport www -j ACCEPT

#domain
iptables -A INPUT -i eth0 -p TCP --sport domain -j ACCEPT
iptables -A OUTPUT -o eth0 -p TCP --dport domain -j ACCEPT
iptables -A INPUT -i eth0 -p UDP --sport domain -j ACCEPT
iptables -A OUTPUT -o eth0 -p UDP --dport domain -j ACCEPT




#www
iptables -A INPUT -i eth0 -p TCP --dport www -j ACCEPT
iptables -A OUTPUT -o eth0 -p TCP --sport www -j ACCEPT
iptables -A INPUT -i eth0 -p UDP --dport www -j ACCEPT
iptables -A OUTPUT -o eth0 -p UDP --sport www -j ACCEPT

#domine
iptables -A INPUT -i eth0 -p TCP --dport domain -j ACCEPT
iptables -A OUTPUT -o eth0 -p TCP --sport domain -j ACCEPT
iptables -A INPUT -i eth0 -p UDP --dport domain -j ACCEPT
iptables -A OUTPUT -o eth0 -p UDP --sport domain -j ACCEPT

[rollboy]

剛又看了一下...

代碼: 選擇全部

ACCEPT all -- anywhere anywhere
DROP all -- anywhere anywhere
ACCEPT all -- anywhere anywhere

會這樣應該是底下的關係

代碼: 選擇全部

iptables -P FORWARD ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -i eth0 -j DROP
iptables -A OUTPUT -o eth0 -j DROP
iptables -A INPUT -i eth1 -j ACCEPT
iptables -A OUTPUT -o eth1 -j ACCEPT

[Tetralet]

阿...要這樣喔?
因為小弟之前看人家討論都是說先全部檔掉...才開放某某port!

底下是我當初加進iptables的樣子..

代碼: 選擇全部

iptables -F
iptables -F -t nat
iptables -X
iptables -X -t nat

iptables -P FORWARD ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -i eth0 -j DROP
iptables -A OUTPUT -o eth0 -j DROP


因為所有封包在這裡就全部 DROP 掉了，
所以即使在後面開放了也沒有意義。


而您所提到的『先全部擋下來再開放』很可能是指設定 iptables 的 Policy，
例：

代碼: 選擇全部

iptables -P INPUT DROP
iptables -P OUTPUT DROP

對於沒有設定規則的內進外出封包預設上是全部丟棄。

[rollboy]

哇勒...看來是iptables的問題....
因為之前我曾經把iptables rule清掉...然後用iptables restart的方式在測試一次..沒注意到iptables -L還是存在舊有的rule!

剛剛又是過一次...不過我是直接reboot...
一切又正常了.....

看來要對iptables多下點功夫了

[d2207197]

哇勒...看來是iptables的問題....
因為之前我曾經把iptables rule清掉...然後用iptables restart的方式在測試一次..沒注意到iptables -L還是存在舊有的rule!

剛剛又是過一次...不過我是直接reboot...
一切又正常了.....

看來要對iptables多下點功夫了

清掉後再執行 iptables-save 就完全清除了
請看鳥哥這篇
http://linux.vbird.org/linux_server/025 ... rewall.php

我的script
http://csdc.twbbs.org/~joseph/configs/iptables.rule